Questa pagina descrive come configurare MACsec per Cloud Interconnect.
Prima di abilitare e utilizzare MACsec per Cloud Interconnect, devi creare una o più chiavi precondivise e configurare il router on-premise per utilizzarle. Il router e il router edge di Google utilizzano le chiavi precondivise per criptare il traffico che transita tra i router.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per recuperare le chiavi MACsec,
chiedi all'amministratore di concederti il
ruolo IAM Compute Network Admin (roles/compute.networkAdmin) sul progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Se scegli di utilizzare ruoli personalizzati, assicurati che il ruolo personalizzato per l'amministrazione di MACsec per Cloud Interconnect includa l'autorizzazione IAM compute.interconnects.getMacsecConfig.
Verifica che Cloud Interconnect sia compatibile con MACsec
Utilizza una delle seguenti opzioni per verificare se una connessione Cloud Interconnect esistente è compatibile con MACsec. In caso affermativo, vai a Crea chiavi precondivise.
Tutte le connessioni Cross-Site Interconnect sono compatibili con MACsec.
Console
Nella Cloud de Confiance console, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Fai clic sul nome della connessione che vuoi ispezionare.
Fai clic sulla scheda MACsec.
Vengono visualizzate le informazioni di MACsec. Se la connessione Cloud Interconnect supporta MACsec e non è configurata, in Configurazione MACsec viene visualizzato Disattivato. Se la connessione non supporta MACsec, il pulsante Attiva non è utilizzabile e, se passi il mouse sopra il pulsante, viene visualizzato il messaggio "L'interconnessione non supporta MACsec. Devi avere una porta compatibile con MACsec."
gcloud
Esegui questo comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Sostituisci INTERCONNECT_CONNECTION_NAME con il nome della connessione Cloud Interconnect.
L'output è simile al seguente esempio. Le connessioni compatibili con MACsec mostrano quanto segue:
- Per i link da 10 GB:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Per i link da 100 GB:
linkType: LINK_TYPE_ETHERNET_100G_LR; tutti i link da 100 GB sono compatibili con MACsec - Per i link da 400 GB:
linkType: LINK_TYPE_ETHERNET_400G_LR; tutti i link da 400 GB sono compatibili con MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
I seguenti elementi specificano la configurazione MACsec della connessione Cloud Interconnect:
availableFeatures:funzionalità MACsec sulla connessione Cloud Interconnect. Questo parametro viene visualizzato solo per le connessioni Cloud Interconnect da 10 GB, perché le connessioni Cloud Interconnect da 100 GB e 400 GB sono compatibili con MACsec per impostazione predefinita.macsecEnabled:stato di MACsec per Cloud Interconnect su questo link. Il valore sarà false finché non avrai abilitato MACsec sull'interconnessione.
Richiedi una connessione Cloud Interconnect compatibile con MACsec
Una connessione Cloud Interconnect da 100 GB o 400 GB è compatibile con MACsec per impostazione predefinita. Tuttavia, una connessione da 10 GB non è compatibile con MACsec per impostazione predefinita, a meno che non si tratti di una connessione Cross-Site Interconnect. Se la connessione esistente non è compatibile con MACsec, devi richiedere una nuova connessione prima di continuare.
Seleziona una delle seguenti opzioni:
Console
Nella Cloud de Confiance console, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e poi fai clic su Continua.
Seleziona Ordina una nuova Dedicated Interconnect e poi fai clic su Continua.
Specifica i dettagli della connessione:
Nome: un nome per la connessione. Questo nome viene visualizzato in the Cloud de Confiance console e viene utilizzato da Google Cloud CLI per fare riferimento alla connessione, ad esempio
my-interconnect.Località Google Cloud: la località fisica in cui viene creata la connessione. La tua rete on-premise deve soddisfare Cloud de Confiance by S3NS's network in questa località. Puoi limitare l'elenco delle località disponibili per area geografica nel menu a discesa Località geografica.
La colonna Supporto di MACsec per il progetto attuale mostra le dimensioni dei circuiti disponibili per Cloud Interconnect con MACsec.
Capacità: la capacità totale della connessione, che è determinata dal numero e dalle dimensioni dei circuiti che ordini.
Seleziona una delle opzioni visualizzate.
Ordina una porta compatibile con MACsec: se ordini un link fisico da 10 Gbps, devi selezionare questa opzione quando ordini la connessione Cloud Interconnect per le connessioni compatibili con MACsec. Se ordini un link fisico da 100 Gbps o 400 Gbps, una porta compatibile con MACsec viene selezionata automaticamente e non puoi deselezionarla.
Puoi fornire una descrizione facoltativa della connessione nel campo Descrizione. Questa descrizione è a tuo uso.
Fai clic su Avanti.
Se hai bisogno di ridondanza, specifica i dettagli della connessione duplicata e poi fai clic su Avanti.
Specifica i tuoi dati di contatto:
Nome dell'azienda: il nome della tua organizzazione da inserire nella LDA come parte autorizzata a richiedere una connessione.
Contatto tecnico: un indirizzo email a cui vengono inviate le notifiche relative a questa connessione. Non devi inserire il tuo indirizzo, perché sei incluso in tutte le notifiche. Puoi specificare un solo indirizzo.
Se crei una connessione tramite la federazione delle identità per la forza lavoro, è necessario specificare un contatto tecnico. La federazione delle identità per la forza lavoro è in anteprima.
Rivedi l'ordine. Verifica che i dettagli della connessione Dedicated Interconnect e i dati di contatto siano corretti. Se è tutto corretto, fai clic su Effettua ordine. In caso contrario, torna indietro e modifica i dettagli della connessione.
Nella pagina di conferma dell'ordine, esamina i passaggi successivi e poi fai clic su Fine.
gcloud
Il seguente comando mostra come richiedere una connessione Cloud Interconnect compatibile con MACsec su un link da 10 GB. MACsec è supportato su connessioni da 10 GB, ma devi contattare il team dedicato al tuo Cloud de Confiance by S3NS account per consentire ai tuoi Cloud de Confiance progetti di creare una connessione compatibile con MACsec su link da 10 GB.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=MACSEC
Sostituisci quanto segue:
INTERCONNECT_CONNECTION_NAME: un nome per la connessione Cloud InterconnectCUSTOMER_NAME: il nome del cliente per la lettera di autorizzazione (LOA) che emettiamo per questa connessioneINTERCONNECT_CONNECTION_LOCATION: una località di connessione Cloud Interconnect elencata nella tabella delle localitàLINK_COUNT: il numero di connessioni Cloud Interconnect che vuoi
Dopo aver richiesto una connessione Cloud Interconnect compatibile con MACsec, viene eseguito il provisioning di una connessione Cloud Interconnect.
Per saperne di più sul provisioning, consulta le seguenti risorse:
- Panoramica del provisioning di Dedicated Interconnect
- Panoramica del provisioning di Partner Interconnect
- Panoramica del provisioning di Cross-Site Interconnect
Crea chiavi precondivise
Dopo aver eseguito il provisioning della connessione Cloud Interconnect compatibile con MACsec, crea le chiavi precondivise utilizzate da MACsec per criptare il traffico che transita tra i router edge di Google e il tuo router. La creazione delle chiavi non attiva MACsec. Per attivare MACsec, devi configurare il router on-premise e poi abilitare MACsec.
MACsec per Cloud Interconnect richiede che tu abbia almeno una chiave con un'ora di inizio pari o precedente a quella attuale. Le chiavi che crei per MACsec per Cloud Interconnect hanno validità infinita. Puoi avere un massimo di cinque chiavi per connessione.
Console
Nella Cloud de Confiance console, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione che vuoi modificare.
Nella scheda MACsec , vai alla sezione Chiavi precondivise e poi fai clic su Chiavi precondivise gestite.
Specifica i dettagli della chiave precondivisa:
Nome chiave 1:un nome per la chiave. Questo nome viene visualizzato in the Cloud de Confiance console e viene utilizzato da gcloud CLI per fare riferimento alla chiave, ad esempio
psk-1.Ora di inizio 1:l'ora a partire dalla quale la chiave è valida.
Per aggiungere altre chiavi precondivise, fai clic su Aggiungi chiave. Le chiavi precondivise consecutive devono avere ore di inizio distanti almeno sei ore.
Fai clic su Invia.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
Sostituisci quanto segue:
KEY_NAME: un nome per la chiaveSTART_TIME: l'ora a partire dalla quale questa chiave è valida in formato ISO 8601, ad esempio2023-07-01T21:00:01.000Z
Ottieni chiavi precondivise
Console
Nella Cloud de Confiance console, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione che vuoi visualizzare.
Nella scheda MACsec , vai alla sezione Chiavi precondivise , trova il nome della chiave precondivisa e poi fai clic su Visualizza. Viene visualizzata una finestra con la chiave di associazione della connettività (CAK) e il nome della chiave di associazione della connettività (CKN). Fai clic su Copia accanto a uno dei due valori per copiarlo negli appunti del computer.
Fai clic su Chiudi.
gcloud
Esegui questo comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
L'output è simile al seguente:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
Prendi nota della chiave di associazione della connettività (CAK) e del nome della chiave di associazione della connettività (CKN) per la configurazione del router.
Se ricevi un errore di autorizzazione negata, verifica di disporre delle autorizzazioni corrette. Per saperne di più, consulta Prima di iniziare.
Configura il router on-premise
Consulta la documentazione del fornitore del router per impostare i seguenti valori sul router per la compatibilità con i router di Google.
A questo punto, MACsec non è abilitato da parte di Google. Per evitare un'interruzione del traffico, non abilitare MACsec sul router durante l'impostazione di questi valori.
| Impostazione | Valore |
|---|---|
| Suite di cifrari MACsec |
|
| Algoritmo crittografico CAK | AES_256_CMAC |
| Priorità del server delle chiavi | 15 |
| Intervallo di nuova chiave della chiave di associazione sicura (SAK) | 28800 secondi |
| Offset di riservatezza MACsec | 0 |
| Dimensione schermo | 64 |
| Indicatore del valore di verifica dell'integrità (ICV) | sì |
| CAK | Il valore che hai annotato in precedenza quando hai ottenuto le chiavi precondivise. |
| CKN | Il valore che hai annotato in precedenza quando hai ottenuto le chiavi precondivise. |
| Identificatore del canale sicuro (SCI) | abilitato |